Краткие выводы
Анализ кода и сетевого поведения российского магазина приложений показывает: он может незаметно инициировать установку программ, регулярно определять геопозицию даже при выключенном GPS, собирать подробный «слепок» установленных приложений и иметь доступ к папкам с личными фотографиями.
Скрытая установка
Исследователи отмечают возможность «тихой» установки новых приложений — без отображения запросов и уведомлений пользователю. По их мнению, таким способом мог быть установлен предустановленный мессенджер на некоторых устройствах.
Фиксация местоположения
Магазин регулярно определяет координаты даже при выключенном GPS: по сети, сотовым вышкам и MAC‑адресу роутера. По мнению авторов анализа, совокупности таких источников достаточно для точного геопозиционирования.
Слежка за установленными приложениями
Изучение трафика показало, что на серверы отправляется подробный «слепок» устройства: какие VPN, банки, защищённые мессенджеры или сторонние магазины установлены, а также частота и длительность их запуска. Этот список привязывается к аппаратному идентификатору смартфона.
«Наглая, ничем не оправданная слежка за вашей активностью», — заявляют авторы исследования.
Доступ к галерее и сторонние SDK
Внутри магазина обнаружен сторонний антивирусный SDK, который мониторит папки DCIM и Pictures, где хранятся личные фотографии. Авторы исследования называют архитектуру приложения несовершенной и отмечают, что интеграция «как есть» стороннего кода привела к серьёзным проблемам с безопасностью.
Можно ли удалить цифровой отпечаток?
Если выводы верны, то уже отправленный на сервер «слепок» устройства остается привязанным к аппаратному ID и удалить его с устройства нельзя.
Как временно отключить магазин на Android
Авторы анализа предлагают использовать Android Debug Bridge (ADB). Смартфон подключают по USB в режиме отладки и выполняют в терминале команды:
adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения рекомендуется отключить режим отладки.
На iPhone магазин RuStore отсутствует, однако ряд других российских приложений ещё не был детально изучен и может представлять риски.
Контекст
С апреля 2024 года национальный магазин должен предустанавливаться на все продаваемые в стране телефоны. Ранее также было принято решение о предустановке определённого мессенджера на новые устройства.
